据BleepingComputer7月26日消息,Microsoft365Defender研究团队在当天发布的研究调查中表示,越来越多的攻击者是恶意的互联网信息服务(IIS)Web服务器扩展到后门未打补丁的Exchange服务器。利用IIS扩展使后门比Webshell更隐蔽,通常很难准确检测到它的安装位置,并且使用与合法模块相同的结构,为攻击者提供了近乎完美的持久性机制。根据Microsoft365Defender研究团队的说法,在大多数情况下,几乎没有检测到实际的后门逻辑,如果不更广泛地了解它们的工作原理,就不能将合法的IIS扩展视为恶意扩展,这也使得识别感染源变得更加困难。对受感染服务器的持久访问在利用托管应用程序中各种未修补的安全漏洞后,攻击者通常会在Webshell中部署有效负载,然后是IIS模块,以提供对受感染服务器的更隐蔽和持久的访问。微软之前已经注意到攻击者在利用ZOHOManageEngineADSelfServicePlus和SolarWindsOrion漏洞后部署了自定义IIS后门。然后,恶意IIS模块允许攻击者从系统内存中获取凭据,从受害者的网络和受感染的设备中收集信息,并提供更多的有效负载。在今年1月至5月针对MicrosoftExchange服务器的攻击活动中,微软注意到攻击者在文件夹C:\inetpub\wwwroot\bin\中安装了一个名为FinanceSvcModel.dll的自定义IIS后门,以访问受害者的电子邮件邮箱,远程运行命令,并窃取凭据和机密数据。作为IIS处理程序安装的IIS后门示例卡巴斯基去年12月也注意到了类似的情况,当时名为Owowa的恶意IISWeb服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示,一旦进入受害者的系统,攻击者就可以获得企业电子邮件的访问权限,通过安装其他类型的恶意软件进行进一步的恶意访问,秘密管理受感染的服务器,并将这些服务器用作恶意基础设施。为了抵御使用恶意IIS模块的攻击,Microsoft建议用户保持其Exchange服务器为最新,检查敏感角色和组,限制对IIS虚拟目录的访问,并确定警报的优先级,同时保持反恶意软件和其他保护程序的运行on并检查config文件和bin文件夹。参考来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-iis-extensions-increasingly-used-as-exchange-backdoors/
